Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

跨服务混淆代理问题防范

混淆代理问题是一个安全性问题，即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在 Amazon 中，跨服务模拟可能会导致混淆代理问题。一个服务（呼叫服务) 调用另一项服务（所谓的服务)时，可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作，否则该服务不应有访问权限。为了防止这种情况，Amazon提供可帮助您保护所有服务主体有权限访问账户中的资源。

我们建议使用aws:SourceArn和aws:SourceAccount资源策略中的上下文密钥。这限制了以下权限Amazon IoT Analytics为资源提供另一项服务。如果使用两个全局条件上下文键，在同一策略语句中使用时，aws:SourceAccount 值和 aws:SourceArn 值中的账户必须使用相同的账户 ID。

防止混淆代理问题最有效的方法是使用具有资源完整 Amazon Resource Name (ARN) 的 aws:SourceArn 全局条件上下文键。如果您不知道资源的完整 ARN，或正在指定多个资源，请针对 ARN 未知部分使用带有通配符 (*) 的 aws:SourceArn 全局上下文条件键。例如，arn:aws:iotanalytics::123456789012:*。

Amazon S3 的防范桶

如果您使用客户管理的 Amazon S3 存储Amazon IoT Analytics数据存储，存储您的数据的 Amazon S3 存储桶可能会出现混乱的副手问题。

例如，Nikki Wolf 使用客户拥有的名为 Amazon S3 存储桶文档示例存储桶. 存储桶存储以下信息Amazon IoT Analytics在该地区创建的数据存储us-east-1. 她指定了一项政策，该策略允许Amazon IoT Analytics要查询的服务主体文档示例存储桶代表她。Nikki 的同事李娟询问文档示例存储桶从她自己的账户中创建一个包含结果的数据集。因此，Amazon IoT Analytics服务负责人代表 Li 查询了 Nikki 的 Amazon S3 存储桶，尽管 Li 通过她的账户进行了查询。

为了防止这种情况，Nikki 可以指定aws:SourceAccount条件或aws:SourceArn保单中的条件文档示例存储桶.

指定aws:SourceAccount条件-以下存储桶策略示例指定只有Amazon IoT Analytics来自 Nikki 账户的资源 (123456789012) 可以访问文档示例存储桶.

{
    "Version": "2012-10-17",
    "Id": "MyPolicyID",
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotanalytics.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                }
            }
        }
    ]
}

指定aws:SourceArn条件-或者，Nikki 可以使用aws:SourceArn条件。

{
    "Version": "2012-10-17",
    "Id": "MyPolicyID",
    "Statement": [
        {
            "Sid": "ConfusedDeputyPreventionExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "iotanalytics.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketLocation",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:ListBucketMultipartUploads",
                "s3:ListMultipartUploadParts",
                "s3:AbortMultipartUpload",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:iotanalytics:us-east-1:123456789012:dataset/DOC-EXAMPLE-DATASET",
                        "arn:aws:iotanalytics:us-east-1:123456789012:datastore/DOC-EXAMPLE-DATASTORE"
                    ]
                }
            }
        }
    ]
}

亚马逊的预防 CloudWatch 日志

在使用Amazon 进行监控时，您可以防止责任混淆代理问题 CloudWatch 日志。以下资源策略显示了如何防止出现混淆的副手问题：

Replace（替换）123456789012用你的Amazon账户 ID 和us-east-1与您所在的地区Amazon IoT Analytics以下示例中的账户。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "iotanalytics.amazonaws.com"
            },
            "Action": "logs:PutLogEvents",
            "Resource": "*",
            "Condition":{
                "ArnLike":{
                    "aws:SourceArn":"arn:aws:iotanalytics:us-east-1:123456789012:*/*"
                },
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                }
            }
    ]
}

有关启用和配置 Amazon 的更多信息 CloudWatch 日志，请参阅Amazon IoT Analytics 中的日志记录和监控.

防止责任管理混淆代理问题防范Amazon IoT Analytics资源

如果你授予Amazon IoT Analytics允许您执行操作Amazon IoT Analytics资源，资源可能会遇到混乱的副手问题。为了防止出现混淆副手的问题，你可以限制授予的权限Amazon IoT Analytics以下是资源策略示例。

预防Amazon IoT Analytics信道和数据存储

您可以使用 IAM 角色来控制Amazon这些资源Amazon IoT Analytics可以代表您访问。为了防止你的角色面临困惑的副手问题，你可以指定Amazon账户在aws:SourceAccount元素和的 ARNAmazon IoT Analytics中的资源aws:SourceArn您附加到角色的信任策略中的元素。

在以下示例中，替换123456789012用你的Amazon账户 ID 和arn: aws: 物联网分析:aws-region:123456789012: Channel/doc-example-Channel使用的 ARNAmazon IoT Analytics频道或数据存储。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ConfusedDeputyPreventionExamplePolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotanalytics.amazonaws.com"
       },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:iotanalytics:aws-region:123456789012:channel/DOC-EXAMPLE-CHANNEL"
        }
      }
    }
  ]
}

要了解有关通道和数据存储的客户托管 S3 存储选项的更多信息，请参阅CustomerManagedChannelS3Storage和CustomerManagedDatastoreS3Storage在Amazon IoT AnalyticsAPI 参考.

防止跨服务混淆代理问题防范Amazon IoT Analytics数据集内容分发规则

IAM 角色Amazon IoT Analytics假设将数据集查询结果提供给 Amazon S3 或Amazon IoT Events可能会遇到混乱的副手问题。为防止责任混淆代理问题，指定Amazon账户在aws:SourceAccount元素和的 ARNAmazon IoT Analytics中的资源aws:SourceArn您附加到角色的信任策略的元素。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ConfusedDeputyPreventionExampleTrustPolicyDocument",
      "Effect": "Allow",
      "Principal": {
        "Service": "iotanalytics.amazonaws.com"
       },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:iotanalytics:aws-region:123456789012:dataset/DOC-EXAMPLE-DATASET"
        }
      }
    }
  ]
}

有关配置数据集内容分发规则的更多详细信息，请参阅contentDeliveryRules在Amazon IoT AnalyticsAPI 参考.